35、容错与分布式广播加密及伪随机函数共享生成技术解析

最新推荐文章于 2025-11-02 03:03:38 发布

julia4scientist

最新推荐文章于 2025-11-02 03:03:38 发布

阅读量29

点赞数

CC 4.0 BY-SA版权

分类专栏： CT-RSA 2003：密码学前沿研讨会精华文章标签：容错分布式广播加密伪随机函数

本文链接：https://blog.youkuaiyun.com/julia4scientist/article/details/149923299

CT-RSA 2003：密码学前沿研讨会精华专栏收录该内容

50 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

容错与分布式广播加密及伪随机函数共享生成技术解析

在当今的信息时代，安全的广播传输以及信息和加密能力的共享在众多领域都有着至关重要的作用。本文将深入探讨容错与分布式广播加密以及伪随机函数共享生成的相关技术。

1. 容错与分布式广播加密

1.1 ω - 阈值设计

当满足特定属性时，会得到 ω - 阈值设计的概念。一个 (n, β, r, λ) - 设计被称为 ω - 阈值设计，需满足对于所有满足 |F| ≤ ω 的 F ⊆ X，有 |{B ∈ B : |F ∩ B| ≥ 2}| ≤ r - 1。并且，如果 r > λ $\binom{\omega}{2}$，那么 (n, β, r, λ) - 设计就是 ω - 阈值设计。

利用 ω - 阈值设计 (X, B)，可以建立容错的广播加密方案（BES）或 (m, n, t, ω) - 分布式广播加密方案（DBES）。具体来说，对于每个子集 Bi ∈ B，关联一个 (≤|Bi|, ≤1) 基本菲亚特 - 诺尔方案，通过 (t, β) 阈值秘密共享方案将秘密 k 分割到 β 个子集中，其中 t = λ $\binom{\omega}{2}$ + 1 ≤ r。

这里，t 个份额可以重建秘密，而最多 ω 个参与者的联盟不拥有足够的份额。此外，如果服务器广播的少于 r - t 个份额丢失，每个特权参与者至少能获得 t 个可解密的份额，r - t 就是容错因子。通过适当选择参数 r ≥ t > λ $\binom{\omega}{2}$ 的值，可以在安全性和容错性之间实现权衡。

以下是相关流程的 mermaid 流程图：

graph LR
    A[开始] --> B[创建ω - 阈值设计]
    B --> C[关联基本菲亚特 - 诺尔方案]
    C --> D[分割秘密k]
    D --> E[检查份额丢失情况]
    E --> F{份额丢失 < r - t?}
    F -- 是 --> G[特权参与者解密份额]
    F -- 否 --> H[无法正常解密]
    G --> I[重建秘密]
    I --> J[结束]
    H --> J

1.2 密钥分发模式

另一种 DBES 构造可以使用密钥分发模式（KDP）。设 B = {B1, …, Bβ} 是 U 的子集集合，如果对于所有满足 P ∩ F = ∅ 的 P ∈ P 和 F ∈ F，有 {Bj : P ⊆ Bj 且 F ∩ Bj = ∅} ≠ ∅，则称 (U, B) 是 (P, F) - 密钥分发模式（(P, F) - KDP）。

基于 KDP 的 BES 方案设置如下：
- 设置阶段 ：对于每个子集 Bj ∈ B，中央处理器（CP）选择一个随机值 sj ∈ GF(q)，并将 sj 给 Bj 中的每个用户。与特权集 P 关联的密钥定义为 κP = $\sum_{j:P∈Bj}$ sj。
- 广播阶段 ：CP 广播值 bP = κP + mP mod q。每个 P 中的用户可以计算 mP，而与 P 不相交的用户联盟 F 由于至少有一个块 Bj 满足 P ⊆ Bj 且 F ∩ Bj = ∅，所以 F 不持有 sj，无法计算 κP。

该方案可以轻松分布式设置为 (m, n, t, F) - DBES。在设置阶段，CP 为 j = 1, …, β，将对应子集 Bj 的值 sj 给服务器 Sj，每个服务器将此值发送给 Bj 中的所有用户。在广播阶段，CP 将消息 mP 共享给满足 P ⊆ Bj 的服务器 Sj，每个服务器广播 mjP + sj，其中 mjP 是其对 mP 的份额。如果 t 表示子集 P ∈ P 的超集 Bj ∈ B 的最小数量，那么任何 t - 1 个服务器不会获得关于消息 mP 的任何信息，而能够恢复消息的服务器数量通常 ≥ t 且取决于 P。

以下是基于 KDP 的 BES 方案的表格总结：
| 阶段 | 操作内容 |
| ---- | ---- |
| 设置阶段 | CP 为每个 Bj 选 sj 并给用户，定义 κP |
| 广播阶段 | CP 广播 bP，用户计算 mP，服务器广播 mjP + sj |

2. 伪随机函数的共享生成

2.1 背景与动机

在许多实际的密码学应用中，信息和加密能力的共享至关重要。阈值密码学的主要目标是用一组实体取代经典密码系统中的单个系统实体，共享相同的权力。然而，一些依赖于缺乏代数结构来保证安全的密码原语，如块密码、伪随机函数和消息认证码（MAC）等，在阈值密码学中的共享研究较少。

1995 年，米凯利和西德尼提出了一种在 n 个玩家之间共享生成伪随机函数 f(·) 的方法，使得对于所有输入 x，任何 u 个玩家可以计算 f(x)，而 t 个或更少的玩家无法计算，其中 0 ≤ t < u ≤ n。其思路是生成并分发一组多随机函数的秘密种子 S = {s1, …, sd} 给 n 个玩家，每个玩家获得 S 的一个子集，任何 u 个玩家一起持有 S 中的所有秘密种子，而任何 t 个或更少的玩家至少缺少 S 中的一个元素。伪随机函数计算为 f(x) = $\sum_{i = 1}^{d}$ fsi(x)，其中 fsi(·) 是多随机函数。他们提出的一个问题是如何以满足上述条件的方式分发秘密种子，使得种子数量 d 尽可能小。

2.2 基于累积映射的框架

本文继续米凯利和西德尼的工作，提供了一个使用累积映射共享生成伪随机函数的通用框架。累积映射最初由杰克逊和马丁引入，虽然在秘密共享中使用累积映射的秘密共享方案通常会导致份额尺寸较大，但由于其组合性质，它们特别适合作为非同态阈值密码系统的构建块。

将累积映射的概念扩展到更一般的斜坡访问结构，这使得能够以累积映射为基本构建块提供共享伪随机函数的框架，并表明米凯利 - 西德尼方案是该通用构造的一个特殊情况。研究了一类特殊的累积映射，即 (t, u, n) 累积映射，并推导了其相关参数的上下界。还提出了一个简单而有效的近似贪心算法来构造高效的 (t, u, n) 累积映射，部分回答了米凯利和西德尼提出的开放问题。

以下是相关步骤的列表：
1. 扩展累积映射概念到斜坡访问结构。
2. 以累积映射为基础构建共享伪随机函数框架。
3. 研究 (t, u, n) 累积映射并推导参数界限。
4. 设计近似贪心算法构造累积映射。

综上所述，容错与分布式广播加密以及伪随机函数的共享生成在密码学领域有着重要的研究价值和应用前景。通过合理运用 ω - 阈值设计、密钥分发模式以及累积映射等技术，可以在不同的广播场景中实现安全性和容错性的平衡，同时解决伪随机函数种子分发的优化问题。

2.3 共享伪随机函数的通用方案

基于扩展到斜坡访问结构的累积映射，下面详细阐述共享伪随机函数的通用方案。

首先，定义一个 (t, u, n) 累积映射，它是一个从参与者集合到种子集合的映射，满足特定的访问结构条件。对于参与者集合中的任意 u 个参与者，他们所拥有的种子集合能够覆盖所有的秘密种子；而任意 t 个或更少的参与者所拥有的种子集合至少缺少一个秘密种子。

共享伪随机函数的生成过程如下：
1. 种子生成 ：生成一组多随机函数的秘密种子 S = {s1, …, sd}。
2. 种子分发 ：根据 (t, u, n) 累积映射，将种子集合 S 分发给 n 个参与者，每个参与者获得 S 的一个子集。
3. 函数计算 ：对于输入 x，每个参与者使用自己所拥有的种子计算对应的多随机函数值。例如，参与者 i 拥有种子集合 Si，他计算 $\sum_{s_j∈S_i}$ fsj(x)。
4. 结果汇总 ：u 个参与者将各自计算的结果汇总，最终得到伪随机函数值 f(x) = $\sum_{i = 1}^{d}$ fsi(x)。

以下是该方案的 mermaid 流程图：

graph LR
    A[开始] --> B[生成秘密种子S]
    B --> C[根据累积映射分发种子]
    C --> D[参与者接收种子]
    D --> E[输入x]
    E --> F[参与者计算部分函数值]
    F --> G[u个参与者汇总结果]
    G --> H[得到f(x)]
    H --> I[结束]

2.4 米凯利 - 西德尼方案与通用构造的关系

米凯利 - 西德尼方案是上述通用构造的一个特殊情况。在米凯利 - 西德尼方案中，访问结构是一种简单的阈值结构，即只要有 u 个参与者就可以计算伪随机函数，而 t 个或更少的参与者无法计算。

在通用构造中，通过扩展到斜坡访问结构，能够处理更复杂的访问需求。例如，在斜坡访问结构中，不同数量的参与者可能拥有不同程度的信息，这使得方案更加灵活和实用。

以下是米凯利 - 西德尼方案与通用构造的对比表格：
| 方案 | 访问结构 | 灵活性 |
| ---- | ---- | ---- |
| 米凯利 - 西德尼方案 | 简单阈值结构 | 较低 |
| 通用构造 | 斜坡访问结构 | 较高 |

2.5 (t, u, n) 累积映射的参数界限

研究 (t, u, n) 累积映射的参数界限对于优化伪随机函数的共享生成至关重要。推导了其相关参数的上下界，具体如下：
- 下界：通过理论分析，得到了种子数量 d 的下界，这为设计高效的累积映射提供了理论基础。
- 上界：同样通过理论推导，确定了种子数量 d 的上界，保证了在实际应用中能够控制种子的数量。

以下是参数界限的简单说明列表：
1. 下界：确保了方案的安全性和可行性。
2. 上界：限制了种子数量，避免资源浪费。

2.6 近似贪心算法

为了构造高效的 (t, u, n) 累积映射，提出了一个简单而有效的近似贪心算法。该算法的基本思想是在每一步选择最优的种子分发方式，逐步构建累积映射。

算法步骤如下：
1. 初始化种子集合 S 和参与者集合。
2. 选择一个参与者，将一个种子分发给该参与者。
3. 评估当前的累积映射是否满足 (t, u, n) 条件。
4. 如果不满足，选择另一个种子和参与者进行分发，重复步骤 3。
5. 直到满足 (t, u, n) 条件或达到最大尝试次数。

通过该算法生成的 (t, u, n) 累积映射中，种子数量 d 接近最优值，最多相差 u ln 2 倍。

综上所述，本文对容错与分布式广播加密以及伪随机函数的共享生成进行了全面的研究。通过 ω - 阈值设计和密钥分发模式实现了安全可靠的广播加密，利用累积映射为伪随机函数的共享生成提供了通用框架，并通过近似贪心算法优化了种子分发。这些技术在保障信息安全、提高加密效率等方面具有重要的应用价值，为未来密码学的发展提供了新的思路和方法。